Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2008)

[pepi]

[…] ich möchte einfach nur die Anhänge, welche eh meist noch als Datei auf meinem Rechner sind, lösche
[…]
Macht ja eigentlich auch Sinn. Aber wenn ich 'nem Freund ein paar Fotos sende und die E-Mail ja standardmäßig signiert wird, ist das ungünstig wenn ich die Fotos später nicht aus der gesendeten E-Mail löschen kann. Sicher ich könnte die ganze E-Mail löschen, aber evtl. habe ich ein paar Worte geschrieben an die ich mich später erinnern möchte.

Also erhalten nur geschäftliche Partner signierte und verschlüsselte E-Mails mit Dateianhang von mir. Schade.

Dank und Gruß.

Ich glaube Du erliegst einem (heutzutage) übertriebenen Bedürfnis Platz zu sparen. Deine Festplatte wird mit Sicherheit ausreichend Platz haben um all die Sachen fassen zu können. Mein Mail Ordner hat zum Beispiel 24,12 GB und mir ist klar, daß ich damit relativ hoch liege.

Ich bin der Meinung, daß der Wert der Signatur bzw. der Verschlüsselung weit über der Platzersparnis von ein paar MB liegt.
Gruß Pepi

 

[Zeisel]

Ich glaube Du erliegst einem (heutzutage) übertriebenen Bedürfnis Platz zu sparen. Deine Festplatte wird mit Sicherheit ausreichend Platz haben um all die Sachen fassen zu können.

Das geht mir aber auch so - ich kann das schon verstehen. Auch wenn Du objektiv Recht hast.

 

[bluejay]

…, dass ich die Anhänge aus solchen signierten E-Mails nicht löschen bzw. abtrennen kann. Hat das einen Grund, muss das so sein oder habe ich nur vergessen ein Häkchen zu setzen? …

…
Ich persönlich halte es sowieso für hochgradig fragwürdig sowas zu tun, aber das ist nur meine eigene Einstellung zum Thema eMails.
Gruß Pepi

Lieber anxtfux,

natürlich hat das einen Grund. Mit einer Signatur leistest Du eine (digitale) Unterschrift - verwendest Du eine qualifizierte elektronische Signatur, ist die sogar im juristischen Sinne verbindlich.
Gehe mal gedanklich in die „Papierwelt“ zurück: Leistest Du da unter einem Schriftstück eine Unterschrift, kannst Du hinterher auch nicht die Schere nehmen und einzelne Passagen herausschneiden.
Insofern mach das Nichtlöschenkönnen durchaus Sinn und ist weit mehr als nur Pepis persönliche Einstellung zum Thema.

 

[anxtfux]

Hallo,

mir geht's auch nur sekundär um den Speicherplatz, primär ist es die Redundanz von Daten die mich ein wenig stört.

Mein Haushalt ist auch knapp gehalten, ich mache mir auch nicht von jedem analogen Foto 10 Abzüge, oder habe meine ganzen Briefe 10 mal kopiert. Sicher habe ich Datenbackups und auch mehrere an verschiedenen Stellen - eben weil Speicherplatz heute kein Thema mehr ist.

Es geht um die Denke! Wenn ich schon mehrere Backups habe, brauche ich die Daten z.B. auch nicht noch in meinem E-Mail Ordner. Gerade nicht wenn es um kurzweilige Fotos von Freunden geht.
Sicher könnte ich denen auch ein E-Mail die nicht signiert ist schicken, aber dann müsste ich bei jeder E-Mail zwei-drei Klicks mehr machen.

Die E-Mails ganz löschen möchte ich jedoch auch nicht, da ich ja doch gerne meine Worte später noch einmal rekapituliere oder mich einfach nur gern daran erinnere.

Ich finde es einfach unpraktisch, dass ich bei den E-Mails die in meinem "Gesendet"-Ordner sind die Anhänge nicht löschen kann. Über die Konsequenzen bin ich mir im klaren und nehme diese bei privaten Redundanz-Mails auch gerne in kauf. Bei Geschäftskontakten ist so etwas sowieso tabu, und ich wage zu behaupten, dass ich zwischen z.B. Partyfotos und Arbeitsverträgen unterscheiden kann.

Es geht nun einfach mal nicht mit Thunderbird und entweder richte ich es mir ein System ein womit ich gut leben kann oder ich habe halt Pech gehabt. Apropos - da ich eh mit einem Schwenk zu Apple Mail liebäugele, gleich noch eine Frage: Ist es bei Apple Mail möglich Anhänge von signierten E-Mails zu löschen?

 

[Zeisel]

Apropos - da ich eh mit einem Schwenk zu Apple Mail liebäugele, gleich noch eine Frage: Ist es bei Apple Mail möglich Anhänge von signierten E-Mails zu löschen?

Ja, das geht - die Signatur ist dann zwar mit weg, aber die benötigst Du ja in dem Fall nicht mehr, da Du ja dann schon weißt, dass sie korrekt war. Das Gilt für PGP/MIME genauso wie für S/MIME.

Mail hat jedoch Bugs:

1. Bei PGP kann die Signatur einer verschlüsselten E-Mail nicht geprüft werden
2. Bei S/MIME ist das Feld hinter Sicherheit bei einer verschlüsselten E-Mail, die von anderen Programmen als Mail selbst versendet werden, leer.

In den 5 angehängten Grafiken dazu steht in der Betreff-Zeile je das E-Mail-Programm, mit dem gesendet wurde, und die Verschlüsselung.

Das einer von zwei Gründen, warum ich zu Thunderbird gewechselt bin, obwohl mir Mail sonst sehr gut gefällt!

 

[anxtfux]

@ Zeisel: Mhhh, dann wohl vielleicht doch lieber bei TB bleiben. Aber das war ja nur ein Grund für deinen Wechsel zu TB, was wäre denn der Zweite gewesen?

 

[Zeisel]

Die Möglichkeiten, E-Mails in HTML zu formatieren, und hier besonders die Verwendung von Tabellen.

Dafür hängt Thunderbird sich bei mir ab und zu (nein, eher selten) auf, wenn ich eine neue E-Mail verfassen will (genauer: wenn ich auf Verfassen oder Antworten klicke, dito Tastaturbefehle). Und genau wie FireFox ist es nicht so gut in das System integriert (kein Wörterbuch im Kontextmenü und ähnliches, kein Zugriff auf das Adressbuch)

Es ist ein Kompromiss, aber auf HTML und PGP lege ich mehr Wert.

Edit: Kennt vielleicht jemand ein Add-on für die Verwendung des Adressbuchs vom Mac in Thunderbird? Das wäre optimal!

 

[pepi]

Ein Event welches für einige von Euch interessant sein könnte. Am 26. Juni findet in Erlangen (Deutschland) ein CAcert/GnuPG/Thawte Web-of-Trust Event statt. Man kann sich dort sicherlich sehr bequem ein paar Punkte für seine Zertifikate holen, oder als Notar einige Punkte vergeben.
Gruß Pepi

 

[stk]

Moin,

öhm - kannst Du mit einer handvoll knackiger Worte erklären, was das mit den Punkten auf sich hat, warum ich da (Erlangen ist nicht sooo weit für mich) unbedingt hin sollte um meinem privaten Thawte Certificate und meinen GnuPG Schlüssel etwas Gutes zu tun ?!

Gruß Stefan

 

[pepi]

In Deinem Thawte Zertifikt steht (so wie in jedem anderen auch) ein sog. Common Name drinnen. Im Falle eines Thawte Zertifikates welches weniger als 50 Trust Punkte hat steht dort "Thawte Freemail Member". Ich gehe mal davon aus, daß Du nicht so heißt. Dein Empfänger kann also feststellen, daß dieses Mail von der selben Person wie das letzte Mail signiert wurde, hat aber noch keine Gewissheit, daß diese Person auch wirklich Du bist.

Wenn Du von mindestens zwei Web-of-Trust Notaren überprüft wurdest und mindestens 50 Punkte von Ihnen bekommen hast, kannst Du Dir ein neues Zertifikat ausstellen lassen in dem Dein echter Name drinnen steht.

Siehe dazu auch Thawte Freemail Web of Trust System.

Du kannst damit die Aussagekraft Deines Zertifikates (und somit auch Deiner digitalen Signatur) aufwerten.

Bei so einer Key signing Party hat man üblicherweise genug Notare um auf einen Schlag alles erledigen zu können und sogar ausreichend Punkte zu bekommen um selbst Notar werden zu können. (Mindestens 100 Punkte bei Thawte).

Unbedingt den Lichtbildausweis der bei Thawte angegeben wurde mitnehmen. Für CAcert und PGP/GnuPG noch eine zweite Photo ID.
Gruß Pepi

 

[stk]

Moin,

Und wo sehe ich, wieviele Punkte ich habe? Ich hab gerade im Schlüsselbund mal alles aufgemacht, was auch halbwegs beim Ruf »Thawte« nicht auf dem Baum war, finde aber nix hilfreiches, was die Punktezahl angeht.

egal wie: Termin ist gebucht!

Gruß Stefan

 

[nggalai]

Moin moin,

wie geht Ihr mit Empfängern um, deren Mail-Programme bei S/MIME-signierten Mails Terror machen? Es passiert mir immer wieder, daß ich eine bedauernde Mail zurückgeschickt bekomme, daß da ein Warndialog aufgegangen sei und sie entsprechend meine Mail nicht beantworten können.

Ein Hinweis in die Signatur (also, die Mail-Signatur. Nicht die Digitale)? Oder nur digital signieren, wenn geklärt ist, daß der Empfänger auch etwas damit anfangen kann?

Cheers,
-Sascha

 

[Zeisel]

Und wo sehe ich, wieviele Punkte ich habe?

Gehe auf die Seite https://www.thawte.de/ und dort in der Schnellanmeldung auf Persönliche Zertifikate für E-Mail.

Dann links erst auf wot console und dann auf wot status klicken, dort siehst Du Deine Punkte.

 

[Zeisel]

wie geht Ihr mit Empfängern um, deren Mail-Programme bei S/MIME-signierten Mails Terror machen? Es passiert mir immer wieder, daß ich eine bedauernde Mail zurückgeschickt bekomme, daß da ein Warndialog aufgegangen sei und sie entsprechend meine Mail nicht beantworten können.

Ein Hinweis in die Signatur (also, die Mail-Signatur. Nicht die Digitale)? Oder nur digital signieren, wenn geklärt ist, daß der Empfänger auch etwas damit anfangen kann?

Cheers,
-Sascha

Einen Hinweis darauf, dass meine E-Mail digital signiert ist, steht unter jeder meiner signierten E-Mails. Ich hatte es nur einmal, dass ein Empfänger eine signierte E-Mail nicht öffnen konnte. Wenn ein Empfänger eine signierte E-Mail nicht lesen kann, dann bekommt er eben eine nicht signierte.

 

[Zeisel]

Für CAcert und PGP/GnuPG noch eine zweite Photo ID.
Gruß Pepi

Wer zertifiziert mir denn meinen GnuPG-Schlüssel? Macht Thawte (über die Notare) das auch? Ich konnte darüber nichts finden... und 474 km nach Erlangen fahren ist ein wenig zu weit
Ich verwende GnuPG bislang "nur" für persönlich bekannte Kontakte, mein Thawte-Zertifikat dagegen für Empfänger, denen ich unbekannt bin.

 

[stk]

Moin,

so - ich hab mir das gestern in Erlangen wirklich mal gegeben. War nicht so ganz einfach, etwas nerdig sollte man schon drauf sein. Ich habs gemacht wie immer: ich hab mir sichtbar blöde gestellt und mir von allen helfen lassen, auch wenn ich dadurch nicht den maximalen »Ertrag« an Bestätigungen, dafür etwas Lernerfolg hatte

Das erste was mir auffiel - und wo ich schlecht vorbereitet war: diese Veranstaltung ist so was von analog - da braucht glatt gar keinen Rechner (schadet aber nicht, wenn man dennoch einen dabei hat). Aber ohne Stift und Zettel (beides hatte ich nicht an Bord) geht eigentlich gar nix!

Was man außerdem dabei haben sollte:

• Tonnen von Ausweiskopien - die braucht man für Thawte
• Tonnen von Ausdrucken des Ergebnisses von »gpg --fingerprint [email protected]« - die braucht man für die PGP Zertifizierung
• Ausweis (Perso und/oder Pass) - braucht man für alle - CACert, Thawte und PGP
• Führerschein oder ein anderes Identitätsdokument mit Lichtbild - braucht man zusätzlich für CACert.

Grundsätzlich: zwei offizielle Ausweise mit Lichtbild sollten's einfach sein. Perso, Pass, Führerschein sind dabei die »hochwertigsten«, alles was man sich ggf. auch selbst zusammenschrauben könnte oder nicht aufgrund einer scharfen Identitätsprüfung ausgestellt wird fällt durch.

Vor einer solchen Keysigning Party sollte man idealerweise die notwenigen Accounts bei CACert und Thawte ebenso wie den PGP-Key besitzen. Klingt eigentlich logisch, hat aber näher betrachtet eine Fußangel: Damit man als völlig Unbedarfter sich da nicht völlig verläuft, ist es aber durchaus hilfreich bei der Erstellung einen kompetenten Menschen an seiner Seite zu haben. Die findet man eben auf solchen Keysigning Parties und in soweit habe ich den gestrigen Abend durchaus genutzt um mein Halbwissen etwas zu erweitern.

Wie gesagt: um den Preis, das das eigentliche Keysigning etwas hintenüber kippte. Na ja ein paar Punkte sind dann doch noch von 2, 3 freundlichen Menschen, die mich etwas an der Hand nahmen zusammen gekommen. Die ersten 50 für CACert, ein paar für Thawte und PGP dürftens gewesen sein. Aber als Neuling sollte man ruhig zwei Parties einplanen - die erste um überhaupt ins Thema reinzukommen, die zweite um Punkte zu machen.

Gruß Stefan

 

[Zeisel]

Danke für den ausführlichen Bericht und die Tipps - ich hoffe, dass ich es mit bekomme, wenn hier im Münsterland mal eine solche Party stattfindet... ist ja doch insgesamt einigermaßen aufwendig.

 

[Mac Andy]

Ich klinke mich hier noch mal ein. Vor kurzem ist mein Zertifikat von thawte abgelaufen. Ich wollte es bei thawte erneuern lassen, das ging aber nicht. Ich musste ein neues Schlüsselpaar erstellen!

Ist das wirklich so oder habe ich etwas übersehen?

 

[philz]

Ich klinke mich hier noch mal ein. Vor kurzem ist mein Zertifikat von thawte abgelaufen. Ich wollte es bei thawte erneuern lassen, das ging aber nicht. Ich musste ein neues Schlüsselpaar erstellen!

Ist das wirklich so oder habe ich etwas übersehen?

Ja, das ist korrekt. Verlängern kann man die Zertifikate nicht, man erstellt sich einfach ein neues Zertifikat für 1 Jahr. Würde auch sonst keinen Sinn machen, denn wenn es geändert werden würde, müsstest du das veränderte Zertifikat sowieso wieder an deine Mailpartner verteilen.

 

[Mac Andy]

müsstest du das veränderte Zertifikat sowieso wieder an deine Mailpartner verteilen.

Das mache ich ja sowieso wenn ich ihnen eine Mail schicke. Aber jetzt bekommen/brauchen sie auch noch einen neuen Schlüssel...

...und ich hätte kein zweites Schlüsselpaar im Schlüsselbund.

Wie ist das? Wenn mir jemand eine verschlüsselte Mail schicken will, schaut dann der MUA ob der Schlüssel noch aktuell ist und holt sich automatische denn Neuen wenn nicht? Alles andere wäre ja Blödsinn.

So gesehen wäre es doch einfacher, den Schlüssel zu behalten und nur ein neues Zertifikat zu bekommen.

Ich verstehe halt den Sinn nicht. Ist das bei anderen CAen auch so? Oder kann der MUA einfach keinen CSR stellen?